Compliance

3.3 Öffentlichkeitsarbeit

71

Besonders zu erwähnen ist das Erfordernis einer möglichst engen Zusammenarbeit der Compliance-Organisation mit der PR- bzw. Kommunikationsabteilung des Unternehmens. Die Darstellung der Compliance-Organisation nach innen und nach außen durch professionelle PR gibt einer überzeugenden Compliance-Kultur den notwendigen letzten Schliff und trägt zur Sichtbarkeit von Compliance innerhalb des Unternehmens, aber auch in der Positionierung nach außen bei.

72

Um die Öffentlichkeitsarbeit so professionell wie nur möglich zu gestalten, sollte die Kommunikationsabteilung jedoch eine klare Vorstellung von den Grundlagen und Zielen von Compliance haben, gepaart mit dem Bewusstsein, dass bei sämtlichen Risiken, die im umfassendsten Sinne den Aufgabenbereich von Compliance betreffen, stets Vorsicht geboten ist. Es muss den verantwortlichen Mitarbeitern im Bereich Kommunikation/PR klar sein, dass eine voreilige, inflationäre oder unpassende Berichterstattung über sensible Themen dem Unternehmen großen Schaden zufügen kann. Die Vorlage und Genehmigung von Pressemeldungen und sonstigen, für die Öffentlichkeit bestimmten Artikeln, Beiträgen etc. durch die Compliance-Abteilung vor ihrer Veröffentlichung bzw. Weitergabe an Dritte sollte deshalb eine Selbstverständlichkeit sein. Dies gilt zum einen für reguläre, wiederkehrende Pressemeldungen und Publikationen, insbesondere aber für solche Situationen, in denen das Unternehmen ohne eigenes Zutun in die Öffentlichkeit gelangt ist. Das kann bei einer behördlichen Untersuchung oder der Einleitung eines Ermittlungsverfahrens gegen das Unternehmen oder die Geschäftsleitung der Fall sein, aber auch in Situationen, die das Unternehmen nur mittelbar betreffen, wie z.B. ein Umwelt- oder Lebensmittelskandal. Gerade bei solch unvorhergesehenen Ereignissen ist größte Sensibilität in der Unternehmenskommunikation vonnöten. Dies gilt auch für unvorhergesehene Anfragen von Journalisten, die möglicherweise von einer der Geheimhaltung unterliegenden Transaktion oder einem sonstigen Sachverhalt erfahren haben, der der PR-Abteilung noch gar nicht zur Kenntnis gelangt ist.

73

Ist dieses Bewusstsein erst einmal geschaffen, kann Compliance von der professionellen Vermarktung durch die Kommunikationsabteilung in der Regel nur profitieren. Nicht zu unterschätzen ist auch die unternehmensinterne Compliance-PR, die bei Unsicherheit und Skepsis der Mitarbeiter gegenüber Compliance einiges zur Klarheit und Bedeutung dieses Bereichs beitragen kann und die oftmals „trockene“ Thematik und die nicht immer inspirierende Darstellung durch die Compliance-Verantwortlichen selbst etwas publikumswirksamer gestalten kann. So empfiehlt es sich, von der Compliance-Abteilung verfasstes Trainingsmaterial sowie Hinweise und Verlautbarungen über compliance-relevante Themen von der Kommunikationsabteilung gegenzulesen und überarbeiten zu lassen. Ratsam ist es auch, die Auftritte von Compliance im Intranet sowie im Internet von der PR-Abteilung gestalten zu lassen.

4. Schulungen

74

Dass Compliance-Schulungen zum Pflichtenkanon der Compliance-Aufgaben gehören, ist sicherlich nicht überraschend. Regelmäßigkeit und Wiederholung bzw. Anpassung des Trainingsmaterials an die neuesten rechtlichen und tatsächlichen Gegebenheiten sollte eine Selbstverständlichkeit sein. Es ist empfehlenswert, eine grundlegende Compliance-Schulung, die sich an alle Mitarbeiter richtet, bereits auf der Compliance-Intranetseite zu installieren. Darin sollten die für das Unternehmen relevanten Risikobereiche dargestellt und erklärt werden und das für den Mitarbeiter angemessene und „richtige“ Verhalten in verständlichen Worten erläutert werden.

75

Schulungen für die Gesamtbelegschaft über die erwähnten Grundlagen hinaus sollten praxisnah und für den Einzelnen verständlich dargestellt werden. Es ist sicherzustellen, dass die zu schulenden Teilnehmer ein grundlegendes Verständnis von Compliance bekommen und die einzelnen für ihren Arbeitsbereich relevanten Risikobereiche verstehen und derart verinnerlichen, dass dieses Verständnis ein wesentlicher Bestandteil ihres Arbeitsalltags wird.

76

Eine Definition des Begriffs „Compliance“ sollte am Anfang jeder Schulung stehen. Vielen nicht englischsprachigen Mitarbeitern ist nämlich nach wie vor nicht klar, was Compliance eigentlich bedeutet und beinhaltet. Gerade beim Neuaufbau einer Compliance-Abteilung im Unternehmen, aber auch bei Trainingsmaßnahmen für neue Mitarbeiter, sollte dargelegt werden, wofür Compliance steht und warum es für das Unternehmen von Bedeutung ist, bestimmte Regeln und Verhaltensnormen zu etablieren und zu befolgen. Dabei sollte der Unterschied zwischen den ohnehin einzuhaltenden gesetzlichen und behördlichen Regeln und Auflagen einerseits und zwischen dem hauseigenen Verhaltenskodex andererseits klargestellt und auf die Bedeutung beider Säulen guter Unternehmensführung hingewiesen werden.

77

Für neu in das Unternehmen eintretende Mitarbeiter sollte turnusmäßig, z.B. einmal im Halbjahr, bei Bedarf und je nach Branche auch häufiger, eine Grundsatzschulung zu Compliance durchgeführt werden. Dabei ist, neben der grundlegenden Darstellung der einschlägigen Risikobereiche, vor allem darauf hinzuweisen, dass die Compliance-Abteilung eine Serviceabteilung ist, an die sich die Mitarbeiter jederzeit mit einschlägigen Fragen wenden können.

78

Weiterführende Schulungen und Trainingsmaßnahmen zu bedeutsamen Risikobereichen und Compliance-Themen sollten fachspezifisch und auf einzelne, von diesen Themen betroffene Abteilungen bzw. Führungspersonen abgestimmt sein. So sollte der Finanzbereich einer Organisation bspw. in regelmäßigen Abständen über die Gefahren von Geldwäsche und Korruption sowie über die Erfordernisse einer ordnungsgemäßen Buchführung als auch über gesetzliche und interne Aufbewahrungspflichten für Geschäftsunterlagen unterrichtet werden. Die IT-Abteilung hingegen sollte hinsichtlich der Bestimmungen des Datenschutzes und sonstiger relevanter Regelungen zur Telekommunikation und den elektronischen Medien stets auf den neuesten Stand gebracht werden.

79

Unabhängig von den oben genannten Schulungen sollten außerdem separate Trainingsmaßnahmen für die Geschäftsleitung und das Management durchgeführt werden.[15] Innerhalb dieser Veranstaltungen ist stets darauf hinzuweisen, dass die Verantwortung für Compliance letztlich stets bei der Geschäftsleitung liegt[16] und die Nichteinhaltung von gesetzlichen, behördlichen und aufsichtsrechtlichen Regelungen nicht nur für das Unternehmen, sondern auch für Vorstände und Geschäftsführer nachhaltige haftungsrechtliche Konsequenzen haben kann. Auch auf das Reputationsrisiko für das Unternehmen samt Management durch Fehlverhalten im Bereich Compliance sollte stets eingegangen werden. Das Risiko, durch angebliches oder tatsächliches Fehlverhalten in den Medien zu erscheinen, wird vor allem bei börsennotierten Unternehmen häufig mehr gefürchtet als ein drohendes oder tatsächlich verhängtes Bußgeld.

80

Bei sämtlichen Trainingsmaßnahmen sollten die Mitarbeiter immer die Möglichkeit haben, Fragen zu stellen und Probleme zu erörtern. Dies dient der Vertrauensbildung und verstärkt die Bereitschaft des Einzelnen, auch bei späteren Einzelproblemen oder Zweifelsfällen die Compliance-Abteilung konkret anzusprechen und die notwendige Beratung einzuholen.

81

Sämtliche durchgeführten Schulungen samt Teilnehmerlisten sind stets zu dokumentieren. Es muss sichergestellt werden, dass sämtliche Mitarbeiter eine Grundlagenschulung und darüber hinaus alle einschlägigen „risikonahen“ Mitarbeiter eine Spezialschulung erhalten. Um dies gegenüber der internen Revision, aber auch gegenüber den zuständigen Aufsichts- oder Kontrollbehörden darzulegen und ggf. zu beweisen, ist auf eine ordnungsgemäße Dokumentation der Schulungsmaßnahmen zu achten.

4.1 Präsenzschulungen vs. E-Learning

82

Es gibt eine Vielzahl von Möglichkeiten, Schulungen zu gestalten. Persönlicher, und für direkte Fragen der Teilnehmer geeigneter sind sicherlich Schulungen von Angesicht zu Angesicht. Die Compliance-Abteilung hat dabei die gute Gelegenheit, sich und ihre Mitarbeiter vorzustellen und durch fachliche Kompetenz und direkte Ansprache der Teilnehmer Vertrauen zu gewinnen. Auch kann ein „Classroom Training“ wesentlich flexibler und individueller gestaltet werden als ein vorgefertigtes Trainingsmodul, das bei Zweifels- und Auslegungsfragen auch durchaus für Verwirrung sorgen kann.

83

Doch im globalen Konzern mit Tausenden von Mitarbeitern werden sich Schulungen auf elektronischem Wege aus Zeit-, Kosten- und Kapazitätsgründen kaum vermeiden lassen. Abgesehen von dem Nachteil des mangelnden persönlichen Kontakts mit den Teilnehmern bieten E-Learning-Programme jedoch auch vielerlei Vorteile: So kann ein einmal erstelltes E-Learning-Modul, bspw. zu den Compliance-Grundlagen, immer wieder verwendet werden, vorausgesetzt, es wird regelmäßig auf den neuesten Stand gebracht. Darüber hinaus kann durch E-Learning ein einheitlicher Trainingsstandard durch alle Unternehmensebenen gewährleistet werden. Auch Überwachung und Kontrolle, ob tatsächlich sämtliche Mitarbeiter das Compliance-Lernprogramm absolviert haben, sind auf elektronische Weise wesentlich einfacher zu handhaben.

4.2 Reputationstraining

84

Reputation[17] und Reputationsrisiko haben sich in den letzten Jahren, bedingt durch den zunehmenden Vertrauensverlust der Öffentlichkeit in Unternehmen und Unternehmensführung, zu bedeutsamen Themen für Corporate Compliance und Risikomanagement entwickelt.

85

Die Reputation eines Unternehmens gilt als einer der wichtigsten immateriellen Vermögenswerte, ist von größter Bedeutung für die Sicherung einer nachhaltigen Rentabilität und stellt ohne Zweifel einen zentralen Wettbewerbsvorteil für das Unternehmen dar.[18] Reputation wird definiert als der öffentliche Ruf eines Unternehmens hinsichtlich Kompetenz, Integrität und Vertrauenswürdigkeit. Reputationsrisiken bestehen in der Gefahr einer negativen Abweichung der Reputation eines Unternehmens vom erwarteten Niveau.[19] Wie einige spektakuläre Fälle in den letzten Jahren immer wieder gezeigt haben, kann der gute Ruf eines Unternehmens in Windeseile zerstört werden. Entsprechend hoch ist inzwischen auch das Bewusstsein der verantwortlichen Manager. Untersuchungen haben ergeben, dass die Mehrheit der Manager und Investoren den Verlust der Reputation als das größte und am schwierigsten einzuschätzende Risiko halten.

86

Häufiger Auslöser für die Schädigung der Reputation eines Unternehmens ist mangelndes Compliance-Bewusstsein sowie das Tolerieren unethischer Praktiken durch die Führungsebene. Hierzu kommt, dass Unternehmen des Kapitalmarkts durch ihre umfangreichen Veröffentlichungspflichten sowie die Beobachtung durch Analysten, Investoren und Ratingagenturen hinsichtlich einer möglichen Schädigung ihrer Unternehmensreputation besonders gefährdet sind. Auch die Abhängigkeit von Aktionären, Konsumenten, Aufsichtsbehörden, der Politik und nicht zuletzt den Medien sollte dazu führen, dass Reputational Risk Management als wichtiger Faktor im Compliance- und/oder Risikomanagement des Unternehmens betrachtet wird.

87

Nicht zu verwechseln ist Reputational Risk Management mit Krisenmanagement, das einsetzt, wenn sich ein Risiko bereits verwirklicht hat, d.h. eine Krise oder ein Schaden bereits eingetreten sind. Wie auch bei sonstigen Compliance-Risiken ist es bei Reputationsrisiken von Bedeutung, so präventiv und antizipatorisch wie möglich zu denken und zu handeln und diese Risiken auf der Basis möglicher Auswirkungen zu bewerten.

88

Gerade weil die Reputation eines Unternehmens sowie die Auswirkungen ihrer Schädigung schwerer messbar sind als andere Vermögenswerte und deren Beeinträchtigung, ist es umso wichtiger, dass Unternehmensleitung und Mitarbeiter über dieses Compliance-Risiko genauso intensiv unterrichtet und geschult werden wie zu den sonstigen konkreter fassbaren Compliance-Themen. Dies ist, je nach Branche, umso schwieriger, je globaler das Unternehmen, zumal wenn es börsennotiert ist, tätig ist. Unternehmen in umweltsensiblen Branchen, wie z.B. der Chemie oder der Pharmaindustrie, haben es noch mit „sichtbareren“ Reputationsrisiken zu tun als bspw. Siemens, das über Jahrzehnte als Vorzeigeunternehmen galt und plötzlich mit Korruption in den eigenen Reihen konfrontiert wurde. Vor diesem Hintergrund ist auf die bedeutsame Zusammenarbeit der einzelnen Abteilungen im Unternehmen, wie z.B. der Rechts- und Personalabteilung, dem Risikomanagement und dem Bereich Kommunikation, hinzuweisen.

89

Schulungsmaßnahmen zu Reputationsrisiken können selbstverständlich in die üblichen Compliance-Schulungen, die die Compliance-Abteilung ohnehin für die Belegschaft oder bestimmte Abteilungen im Unternehmen durchführt, integriert werden. Aufgrund der großen Bedeutung der Reputation eines Unternehmens und ihrer Gefährdung ist es jedoch durchaus empfehlenswert, separate Veranstaltungen zum Thema anzubieten. Dies kann bspw. als verpflichtender Workshop für alle leitenden Angestellten des Unternehmens gestaltet werden. In einem solchen Workshop sollten praktische Fälle als „case studies“ besprochen werden, die sich tatsächlich ereignet haben oder haben könnten (z.B. Siemens, Volkswagen, Deutsche Bank, ERGO). Hierzu sollten von den Teilnehmern Notfallpläne oder Deeskalationsmodelle erarbeitet werden, die auch im Ernstfall Verwendung finden könnten.

5. Kontrollen

5.1 Control Testings und Audits

90

Vertrauen ist gut, Kontrolle ist besser. Der Aufbau einer Compliance-Abteilung, die Erstellung einer rigiden und überzeugenden Compliance-Struktur und nicht zuletzt die Schaffung einer glaubhaften Compliance-Kultur hängen vom guten Willen einer Vielzahl von Beteiligten innerhalb und außerhalb des Unternehmens ab. Compliance wird in der Regel von der überwiegenden Mehrheit der Beteiligten wohlwollend unterstützt und mitgetragen. Nichtsdestotrotz ist eine regelmäßige Überprüfung von Geschäftsvorgängen und Prozessen im Unternehmen erforderlich. Diese Überprüfung kann in Form von informellen Kontrollen oder Stichproben („Control Testings“) durch einzelne Compliance-Beauftragte erfolgen, indem sie den entsprechenden Geschäftsbereich um Auskunft über Prozesse, Abläufe etc. ersuchen. In vielen Bereichen[20] empfehlen sich solche informellen Überprüfungen, damit die Compliance-Abteilung ein Gespür dafür bekommt, wo mögliche Schwachstellen in einem System liegen, ohne gleich eine offizielle Untersuchung einleiten zu müssen.

91

Eine formelle Kontrolle, ob die bestehenden Compliance-Systeme funktionieren und die entsprechenden Richtlinien eingehalten werden, wird in vielen Unternehmen durch die interne Revision (Internal Audit Team) durchgeführt. Dieser Prozess ist vor allem deshalb empfehlenswert, weil er eine unabhängige Überprüfung nicht nur von möglichen Compliance-Verstößen, sondern auch der Effektivität der Compliance-Organisation an sich ermöglicht. Derartige Audits werden in enger Zusammenarbeit mit der Compliance-Abteilung durchgeführt und betreffen in der Regel einen bestimmten Risikobereich, der näher betrachtet werden soll. Andererseits kann sich ein Audit auch auf eine bestimmte Abteilung im Unternehmen konzentrieren, um deren Compliance-Verhalten insgesamt zu überprüfen. Regelmäßige Audits finden vor allem in den operativen Bereichen sowie im Vertrieb eines Unternehmens statt, da diese Abteilungen naturgemäß besonderen Compliance-Risiken unterliegen.

92

Zwar kann auch durch regelmäßige formelle und informelle Kontrollen nicht vollständig gewährleistet werden, dass jegliches Fehlverhalten von Mitarbeitern und Dienstleistern komplett ausgeschlossen oder verhindert werden könnte. Eine Fehlerquote von null Prozent ist in Anbetracht der vielfältigen Risiken für ein Unternehmen wohl illusorisch. Auch darf nicht angenommen werden, dass durch Audits und andere Prüfungsmechanismen jegliches Fehlverhalten im Unternehmen aufgedeckt werden könnte. Dennoch sind Audits als Baustein in der Compliance-Organisation von großer Bedeutung: Sie schärfen das Bewusstsein sowohl der Compliance-Abteilung, über bestehende Prozesse nachzudenken und diese bei Bedarf zu verbessern. Darüber hinaus konfrontieren sie die Mitarbeiter in den betroffenen Geschäftsbereichen mit einem Problembewusstsein, das zwar oft als mühsam oder gar unnötig empfunden wird, das aber langfristig Wirkung zeigt. Gerade diejenigen Mitarbeiter, die die Verpflichtung des Unternehmens zu Compliance und Integrität nur als ein Lippenbekenntnis abtun, werden durch den Einsatz von Kontrollmechanismen oft eines Besseren belehrt.

5.2 „Mock Dawn Raids“

93

Im Rahmen der Überprüfung der Wirksamkeit der Compliance-Richtlinien bietet sich auch die gelegentliche Durchführung eines sog. „Mock Dawn Raid“ an. Dawn Raids sind unangekündigte Besuche der Polizei, der Finanz-, Aufsichts- oder sonstiger Behörden, z.B. der Generaldirektion Wettbewerb der Europäischen Kommission oder des Bundeskartellamts. Diese Behörden haben die Befugnis, Ermittlungen ohne Vorankündigung („Dawn Raids“) bei Unternehmen in deren Räumlichkeiten durchzuführen. Um auf derartige Überraschungsbesuche richtig vorbereitet zu sein, erstellt die Compliance-Abteilung in der Regel Richtlinien für das Empfangspersonal, die detailliert regeln, wie sich dieses bei einem unangekündigten Besuch einer Behörde zu verhalten hat. Auch für Geschäftsleiter und Manager sowie die Mitglieder der Rechts- und Compliance-Abteilung sollten entsprechende Richtlinien existieren, die sicherstellen, dass das Unternehmen alle Vorkehrungen trifft, die eine potenzielle Ermittlung in einem möglichst geordneten Rahmen ablaufen lassen.

94

Um die Effektivität derartiger Richtlinien zu überprüfen, empfehlen sich „Mock Dawn Raids“, die in glaubhafter Weise den unangekündigten Besuch einer Behörde simulieren. Hierfür können sich dem Empfangspersonal und den lokalen Verantwortlichen unbekannte Mitarbeiter bspw. aus der internen Revision oder dem Audit-Team oder auch externe Anwälte zur Verfügung stellen. Damit kann mit relativ geringem Aufwand festgestellt werden, ob die geltenden Richtlinien und die entsprechenden Schulungsmaßnahmen für das betroffene Personal ausreichend sind oder ob ggf. nachgebessert werden muss. Auch kann ein derartiger „Mock Dawn Raid“ den möglichen Ablauf eines unangekündigten Behördenbesuchs plastisch vor Augen führen, was unter Umständen dazu führt, Situationen, die bislang nicht bedacht wurden, durch verbesserte Richtlinien und Prozesse zu entschärfen.

6. Kooperation mit Behörden

95

Ebenso wichtig wie der regelmäßige unternehmensinterne Austausch mit der Geschäftsleitung ist für die Compliance-Abteilung, in engem Kontakt mit den für die Geschäftsbereiche des Unternehmens relevanten Behörden zu stehen. Dies sind für die Finanzdienstleister zunächst die einschlägigen Aufsichtsbehörden (in Deutschland die BaFin) in den Ländern, in denen das Unternehmen registriert bzw. tätig ist. Darüber hinaus sind jedoch auch die Kontakte mit den für die jeweiligen identifizierten Risikobereiche zuständigen Behörden (z.B. die EU-Wettbewerbskommission oder die zuständigen Datenschutzbehörden) regelmäßig zu pflegen.

96

Die Vertreter der Compliance-Abteilung sollten die Kontaktpflege mit den Behörden als veritablen und integrierten Bestandteil ihrer Aufgabe betrachten. Der regelmäßige Austausch mit Behördenvertretern wird in Anbetracht der Flut von Gesetzen, Verordnungen und Richtlinien, zumal wenn es sich um ein reguliertes Unternehmen der Finanzdienstleistungs- und Versicherungsbranche handelt, immer wichtiger. Dies wird zum großen Teil auch auf Seiten der Behörden so gesehen. Schon so manch unklare behördliche Vorgabe konnte durch die Intervention der Betroffenen vereinfacht oder verständlicher gemacht werden.

97

Zu berücksichtigen ist in diesem Zusammenhang allerdings, dass der verhältnismäßig informelle Zugang zu deutschen Behörden nicht zu der Schlussfolgerung verleiten darf, dies könne auch in allen anderen Ländern, in denen das Unternehmen vertreten ist, so gehandhabt werden. Hier ist Vorsicht angebracht. So ist es im Nachbarland Frankreich nicht immer selbstverständlich, persönlich bei einer Behörde zu erscheinen, sondern es sind formelle Eingaben vorauszuschicken, auf deren Basis ggf. ein Gespräch zustande kommen kann.[21]

98

Zu beachten ist jedoch, dass viele Branchen Interessensvertretungen in Form von Verbänden haben, die diese Aufgaben stellvertretend für ihre Mitglieder wahrnehmen. In diesen Fällen empfiehlt es sich stets, zunächst mit dem Verband in Verbindung zu treten, bevor unternehmerische Alleingänge Missstimmung oder Verwirrung hervorrufen.